it-swarm.com.de

Handelt es sich um eine Sicherheitslücke, wenn die Adressen von Studenten offengelegt werden?

Es tut mir leid für mein mangelndes Wissen in dieser Angelegenheit.

Meine Universität (im Grunde eine internationale Universität in Großbritannien mit Studenten aus verschiedenen Ländern) hat eine Website, auf der sich die Studenten anmelden müssen, bevor sie auf ihre Prüfungsergebnisse zugreifen können. Diese Ergebnisse enthalten auch ihren Namen und ihre Adresse.

Bei der Überprüfung der Netzwerktransaktion stellte ich jedoch fest, dass eine Seite aufgerufen wurde, auf der die Registrierungsnummer des Schülers direkt in der URL angegeben und das damit verbundene Prüfungsergebnis angezeigt wird. Auf diese Seite kann zugegriffen werden, ohne sich in das Studentenkonto einzuloggen, und ohne Probleme gab sie mir das Prüfungsergebnis, das den Namen und die Adresse des Studenten enthüllte. Ich habe mehrere Registrierungsnummern ausprobiert, die meinen ähnlich waren, und alle waren einfach zu verarbeiten.

Ein weiteres Problem besteht darin, dass diese Registrierungsnummern eine feste Länge haben, nur Nummern enthalten und in aufsteigender Reihenfolge vorliegen. Wenn beispielsweise eine gültige Registrierungsnummer 000001 lautet, lautet die nächste 000002 und so weiter.

Meiner Meinung nach kann ein Angreifer auf einfache Weise ein automatisiertes Programm erstellen, das diese Registrierungsnummern zufällig oder nacheinander generiert und die Namen und Adressen von Hunderten von Studenten abruft.

Meine Fragen sind:

  1. Ist es allgemein anerkannt, dass Universitäten die Namen und Adressen von Studenten offenlegen?
  2. Ist es eine allgemein anerkannte Praxis für Universitäten, dass eine starke Sicherheit in Bezug auf Name und Adresse nicht wichtig ist?
  3. Ist es ein schwerer Angriff und muss ich ihn ihnen melden? Oder kann es einfach ignoriert werden?

pdate :

Ich habe die Antwort von der Universität erhalten und sie haben sie jetzt behoben. Danke an euch alle.

91
Ghulam Ali

Es tut mir leid für mein mangelndes Wissen in dieser Angelegenheit.

Das solltest du nicht sein.

Ist es allgemein anerkannte Praxis für Universitäten, den Namen und die Adressen von Studenten offenzulegen?

Wie in den Kommentaren erwähnt, hängt dies von Ihren örtlichen Gesetzen und Vorschriften ab. Sie sollten es auf jeden Fall einmal überprüfen. Aber die Art und Weise, wie Sie die Anwendung beschreiben (Ändern der URL, um die Details einschließlich des Ergebnisses zu erhalten), klingt wie ein Fehler, der auf jeden Fall gemeldet werden sollte.

Ist es eine allgemein anerkannte Praxis für Universitäten, dass eine starke Sicherheit in Bezug auf Name und Adresse nicht wichtig ist?

Nein, sei es eine Universität oder ein großes MNC oder ein kleines Unternehmen oder Ihr persönliches Konto, Sicherheit ist IMMER wichtig.

Ist es ein schwerer Angriff und muss ich ihn ihnen melden? Oder kann es einfach ignoriert werden?

Ja, Sie müssen dies so schnell wie möglich der Universität melden. Es sollte nicht ignoriert werden.

EDIT: Wie in den Kommentaren erwähnt, gibt es einige Universitäten, an denen die Adressen von Studenten veröffentlicht werden können.

93
pri

Dies ist eine Sicherheitsanfälligkeit. Die Art und Weise, wie sie sequenzierte erratene Zahlen für den Zugriff auf Datensätze verwendet haben, ist eine Sicherheitsanfälligkeitsklasse namens Insecure Direct Object Reference, die in den OWASP Top 10 ( https://www.owasp.org/index) aufgeführt ist .php/Top_10_2013-A4-Insecure_Direct_Object_References )

Je nachdem, wo auf der Welt Sie leben, verstößt die Universität möglicherweise gegen Datenschutzgesetze. Zumindest ist es eine schlechte Datenkontrolle und verletzt Ihre Privatsphäre, Sie sollten ihnen dies unbedingt mitteilen.

50
iainpb

Da sich die Universität in Großbritannien befindet, ist dies mit ziemlicher Sicherheit ein Verstoß gegen die DPA 1998 . Das heißt, dies ist kein eng gefasstes Sicherheitsproblem.

Eine Studentenadresse würde im Sinne des Gesetzes sicherlich als „personenbezogene Daten“ gelten. Die Tatsache, dass Sie die Daten auf diese Weise abrufen können, ist, da bin ich mir sehr sicher, ein Verstoß gegen Prinzip 7 und wahrscheinlich auch gegen 6 und 8. Die Prinzipien sind, dass persönliche Daten müssen sein

  1. fair und rechtmäßig verarbeitet;
  2. für begrenzte Zwecke verarbeitet werden;
  3. angemessen, relevant und nicht übertrieben;
  4. genau;
  5. nicht länger als nötig aufbewahrt;
  6. im Einklang mit den Rechten der Benutzer verarbeitet werden;
  7. sichern; und
  8. nicht außerhalb des EWR übertragen.

Die Tatsache, dass Sie dies sehr leicht hacken mussten, um die Informationen zu erhalten, ändert nichts an den Dingen: Es bedeutet, dass es nicht sicher ist. Grundsatz 7 lautet in vollem Umfang: „Es sind geeignete technische und organisatorische Maßnahmen gegen die unbefugte oder rechtswidrige Verarbeitung personenbezogener Daten sowie gegen den versehentlichen Verlust oder die Zerstörung oder Beschädigung personenbezogener Daten zu treffen.“

Eine endgültige Abschlussklassifizierung würde als öffentliche Daten gelten, in dem Sinne, dass ein Teil Ihres Vertrags mit der Universität darin besteht, dass sie den Leuten mitteilen, dass Sie Ihren Abschluss gemacht haben. Interne/Zwischenmarken würden wahrscheinlich nicht als öffentliche Daten gelten (und das „wahrscheinlich“ bedeutet, dass es ein positives Argument dafür geben müsste, dass sie als öffentlich gelten, bevor es in Ordnung ist, sie so verfügbar zu machen).

Die Universität sollte ein DPA-Büro/einen DPA-Beauftragten haben, der ballistisch wird, wenn Sie dies ihnen melden (und ich denke, Sie sollten es tun), und in der Lage sein sollte, sehr hohen Druck auszuüben, um dies zu ändern. Sie scheinen als Antwort auf Ihren Bericht nicht viel Aufhebens zu machen, aber ich hoffe, dass sie intern sofort Maßnahmen ergreifen werden. Wenn sie es nicht sofort beheben (oder vielleicht sogar, wenn Sie keine unmittelbaren Beweise dafür sehen), dann ein Bericht an das ICO , wie in @ daiscogs Kommentar vorgeschlagen, wäre richtig.

In Bezug auf die Frage, ob dies anonym gemeldet werden soll, können Sie dies tun, wenn Sie möchten, aber ich hoffe, dass dies keine Rolle spielt und dass das DP-Büro angemessen diskret ist (dies ist sehr ihr Problem, nicht Ihr Problem). Wenn es ein Comeback gäbe, wäre der ICO sicher extrem interessiert, davon zu hören.

Ich bin praktisch der DP-Beauftragte in unserer (britischen) Universitätsabteilung, und ich weiß, wie ich oder das DP-Büro der Universität darauf reagieren würden.

(Ich habe dies ursprünglich als Kommentar gepostet, aber nach Überlegung wurde es zu einer Antwort erweitert.)

25
Norman Gray

Es ist möglich, dass dies beabsichtigt ist und nicht als Verlust sensibler Informationen angesehen wird. Wenn Sie sich Verzeichnisse online ansehen, [~ # ~] mit [~ # ~] , [~ # ~] cmu [~ # ~] , Stanford und alle anderen, an die ich denke, sind alle öffentlich aufgelisteten Studenten und Personalverzeichnisse.

Universitäten in den Vereinigten Staaten sind im Allgemeinen mehr besorgt über [~ # ~] ferpa [~ # ~] , das die Aufzeichnungen über die Ausbildung von Studenten schützt.

"Verzeichnisinformationen" wie Name, Adresse, Registrierungsstatus und Datum sind standardmäßig nicht geschützt. Hier finden Sie eine gute Liste der Informationen, die als Verzeichnisinformationen gelten und der Öffentlichkeit zugänglich gemacht werden können. Die entsprechende Bestimmung lautet:

Die Verzeichnisinformationen eines Studenten können an einen Fragesteller außerhalb der Universität weitergegeben werden, es sei denn, der Student fordert ausdrücklich an, dass Verzeichnisinformationen zurückgehalten werden.

Wenn ich Sie wäre, würde ich mich nach einer Datenschutzrichtlinie umsehen, bevor ich mich an die Universität wende. Es ist wahrscheinlich beabsichtigt. Ihre Universität hat wahrscheinlich eine Opt-out-Klausel zum Schutz Ihrer Verzeichnisinformationen.

Außerdem haben die meisten Websites ihre Verzeichnisse in Nicht-Crawler-Listen, sodass Ihre Datensätze in Suchmaschinen nicht online sind. Möglicherweise möchten Sie die robots.txt überprüfen.

Davon abgesehen sollten Noten niemals bekannt gegeben werden. In der Praxis beziehen sich die Noten in einem seltenen FERPA-Fall auf Buchstaben-/Transkriptnoten und nicht auf einzelne Noten im Klassenzimmer, die manchmal als "Notizen für Dozenten" angesehen werden.

8
Jedi

Obwohl eine Antwort akzeptiert wurde und sowohl Priyank als auch Iain einige gute Punkte ansprechen, lohnt es sich meiner Meinung nach, die Frage zu untersuchen, ob es sich um vertrauliche Daten handelt.

Zunächst einmal gibt es einen gewissen Unterschied zwischen den Prüfungsergebnissen (normalerweise hat ein Student während seines Studiums viele Prüfungen) und den Qualifikationen (d. H. Der endgültigen Auszeichnung durch die Institution). So kann auch gefolgert werden, ob eine Person derzeit Student ist.

Diese Informationen öffnen die Tür für alle Arten von gezieltem Phishing - Menschen, die sich als Studentendarlehensgeber ausgeben, Refinanzierungen anbieten oder sich als offizielle Alumni-Organisationen ausgeben.

Es ist auch ein großer Vorteil für Identitätsbetrug. Ich bin zwar noch nie auf eine Frage gestoßen, ob es sich um eine Zwei-Faktor-Frage zur Hochschulbildung handelt ("Was war unsere erste Schule?") ) Eine solche Einrichtung würde betrügerische Stellen-/Kreditanträge erleichtern.

Daher ist die Frage, ob dies unter die Datenschutzrichtlinie oder die lokalen Vorschriften der Organisation fällt, umstritten: Sie stellt eine Verletzung der Sorgfaltspflicht des Anbieters gegenüber seinen Studenten/Absolventen dar.

Aber die Kehrseite davon ist, dass es mir verrückt erscheint, dass ich jemandem, der fragt (z. B. einem potenziellen Arbeitgeber), nur beweisen kann, welchen Abschluss ich habe, indem ich ihm ein Stück Papier zeige (relativ leicht zu fälschen). Aber ich stelle mir vor, dass die meisten Leute, die dies lesen, in der Lage wären, einfache und effektive Lösungen zu finden, um solche Informationen sicher preiszugeben.

5
symcbean

Persönlich bin ich hauptsächlich besorgt, dass das System die Registrierungs-ID der Schüler anzeigt.

Ich weiß nicht, wie es an Ihrer Universität läuft, aber in meiner Zeit als Student haben wir den RI auf unsere Prüfungsantwortbögen geschrieben, damit die Schüler nicht wissen, wer wer war.

An Ihrer Universität können die Grader nachsehen, wer wer ist, und das ist meiner Meinung nach eine schwere Sicherheitsverletzung.

4
Stig Hemmer

Tatsächlich. Insbesondere wenn die Universität sich bereit erklärt, solche Informationen geheim zu halten, könnte dies einen großen Verstoß gegen ihre eigenen Richtlinien darstellen.

3
user135650

Wenn die Informationen zu den Noten der Schüler eine Person persönlich identifizieren können, ist dies mit ziemlicher Sicherheit ein Problem. Wenn Sie andererseits nur die Noten sehen können, die einer unbekannten Person zugeordnet sind, dh einer bestimmten Zahl, aber Sie können nicht genau bestimmen, wer diese Zahl darstellt, kann dies möglicherweise nicht als Sicherheitsproblem angesehen werden, da die Daten argumentiert werden könnten wurde anonymisiert. Viel hängt von der geltenden Datenschutzgesetzgebung ab (höchstwahrscheinlich von der britischen Gesetzgebung, dies kann jedoch durch das Land, in dem die Daten gehostet/gespeichert werden, und die Datenschutzrichtlinien der Institution beeinflusst werden. Beispielsweise müssen die Studenten möglicherweise zustimmen, dies zuzulassen Ihre Ergebnisdaten werden im Rahmen der Anmeldebedingungen veröffentlicht. Dies ist jedoch unwahrscheinlich.

In den meisten Ländern gibt es Datenschutzgesetze, die festlegen, was als private oder persönliche Informationen angesehen wird, und in einigen Fällen der Hosting-Organisation zusätzliche Verantwortlichkeiten auferlegen, welche Berechtigungsstufe sie von der Person einholen müssen, um Daten zu veröffentlichen, und welche Maßnahmen sie ergreifen muss Nehmen Sie, falls Daten versehentlich durch einen Sicherheitsfehler offengelegt oder verletzt werden. Wenn in den USA beispielsweise ein Unternehmen einen Vorfall hat, bei dem personenbezogene Daten absichtlich oder versehentlich kompromittiert werden und diese Daten möglicherweise finanzielle Auswirkungen haben, z. B. die Offenlegung von Kreditkartendaten, muss die Organisation den betroffenen Personen Kreditüberwachungsdienste anbieten für eine bestimmte Zeit. In einigen Ländern gibt es auch verbindliche Gesetze zur Meldung und Benachrichtigung von Datenschutzverletzungen, nach denen die Organisation Einzelpersonen und häufig eine zentrale Behörde benachrichtigen muss, wenn Daten kompromittiert wurden.

Leider haben die Regierungen Schwierigkeiten, klare und kohärente Rechtsvorschriften zum Datenschutz zu entwickeln und Rechtsvorschriften beizubehalten, die mit der Technologie Schritt halten können. Es gibt signifikante Unterschiede zwischen Ländern mit unterschiedlichen Schwerpunkten und Zielen. Zum Beispiel haben die USA beträchtliche Richtlinien in Bezug auf Datenschutz und Meldepflicht, aber sie haben auch Gesetze in Bezug auf Heimatschutz und Terrorismusbekämpfung, von denen einige glauben, dass sie den Datenschutz gefährden. Deutschland und eine Reihe anderer europäischer Länder haben unterschiedliche strenge Gesetze zum Schutz der Privatsphäre erlassen. Australien hat die Datenschutzgesetze vor relativ kurzer Zeit aktualisiert, hat jedoch Schwierigkeiten, verbindliche Gesetze zur Meldung von Datenschutzverletzungen usw. einzuführen.

Aufgrund Ihrer Beschreibung vermute ich, dass Sie tatsächlich eine Sicherheitsanfälligkeit bezüglich des Datenzugriffs entdeckt haben, und Sie sollten dies mit ziemlicher Sicherheit der Universität melden. Leider ist es nicht immer einfach herauszufinden, wie solche Probleme gemeldet werden können. Der erste Ort, an dem dies überprüft werden muss, ist ein Blick auf die Datenschutzrichtlinien der Organisation. Es ist auch wahrscheinlich, dass das Vereinigte Königreich eine zentrale Behörde hat, beispielsweise einen Ombudsmann für den Datenschutz, dem Sie dieses Problem auch melden könnten.

Sie sollten sich auch darüber im Klaren sein, dass Sie beim Zugriff auf diese Daten vorsichtig sein müssen, insbesondere wenn Sie die von Ihnen beschriebene URL-Manipulationstechnik verwenden oder bestimmte Details zum Zugriff auf die Daten angeben. In einigen Ländern könnte argumentiert werden, dass Sie gegen das Gesetz verstoßen haben und wegen „Hacking“ angeklagt werden könnten. Das Tempo des technischen Wandels in Verbindung mit einem Unverständnis innerhalb des Gesetzgebungs- und Justizsystems hat zu einigen schlecht ausgearbeiteten Rechtsvorschriften und einer rechtlichen Auslegung dieser Rechtsvorschriften geführt. Es gab eine Reihe von Fällen, in denen Personen wegen der Bekanntgabe von Sicherheitslücken beim Datenzugriff angeklagt wurden. Während solche Anklagen normalerweise nicht zu einer Verurteilung führen, werden die potenziellen Probleme, die diese Art von Anklage mit sich bringt, am besten vermieden.

3
Tim X

In den USA können Sie durch einfaches Schreiben eines einfachen Skripts, das solche Informationen abkratzt, eine ,5-jährige Haftstrafe erhalten. Wenn die Universität nicht beabsichtigt hat, diese Informationen zu veröffentlichen, wird dies als Sicherheitslücke angesehen.

2
iyrin